Политика в отношении обработки персональных данных
1.1. Настоящее Положение о персональных данных работников и
учащихся в муниципальном автономном общеобразовательном учреждении
«Средняя общеобразовательная школа № 21» регламентирует порядок
получения, обработки и использования персональных данных педагогических
работников и учащихся в целях реализации образовательной деятельности в
соответствии с законодательством Российской Федерации.
1.2. Настоящее Положение по обработке персональных данных
работников муниципального автономного общеобразовательного учреждения
«Средняя общеобразовательная школа № 21» (далее Учреждение)
разработано в соответствии с Трудовым кодексом Российской Федерации,
Конституцией Российской Федерации, Гражданским кодексом Российской
Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации», Федеральным
законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. 29.07.2017),
постановления Правительства РФ от 15.09.2008 № 687 "Об утверждении
Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации", а также в
соответствии с Уставом и локальными актами Учреждения.
1.3. Цель настоящего Положения - защита персональных данных,
используемых сотрудниками Учреждения для выполнения своих
должностных обязанностей от несанкционированного доступа и разглашения.
Персональные данные являются конфиденциальной, строго охраняемой
информацией.
1.3. Требования настоящего Положения распространяются на порядок
обращения с неавтоматизированными носителями персональных данных
(бумажные, фото-, кино-, видео-, аудионосители и пр.).
1.4. Учреждение имеет право проверять соблюдение требований данного
Положения, проводить служебные проверки по фактам выявленных
нарушений.
1.5. О фактах утраты документов, дел и изданий, других носителей,
содержащих персональные данные, либо разглашения этой информации
ставится в известность директор Учреждения и назначается комиссия для
проверки фактов утраты или разглашения. Информация о результатах работы
комиссии доводится до сведения директора Учреждения.
1.6. Ответственными за соблюдение требований настоящего Положения
являются сотрудники Учреждения, непосредственно участвующие в обработке
персональных данных.
1.8. Настоящее Положение и изменения к нему утверждаются приказом.
Все работники должны быть ознакомлены с данным Положением и
изменениями к нему под роспись.
3
2. Основные понятия, используемые в настоящем Положении
Персональные данные - любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе его фамилия,
имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия, доходы,
другая информация;
Оператор – сотрудник, осуществляющий обработку персональных
данных, а также определяющее цели и содержание обработки персональных
данных.
Субъекты персональных данных – сотрудники Учреждения, заявители,
дети от 6 до 18 лет.
Обработка персональных данных - действия (операции) с
персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование,
распространение (в том числе передача), обезличивание, блокирование,
уничтожение персональных данных;
распространение персональных данных - действия, направленные на
передачу персональных данных определенному кругу лиц (передача
персональных данных) или на ознакомление с персональными данными
неограниченного круга лиц, в том числе обнародование персональных данных
в средствах массовой информации, размещение в информационно-
телекоммуникационных сетях или предоставление доступа к персональным
данным каким-либо иным способом;
использование персональных данных - действия (операции) с
персональными данными, совершаемые оператором в целях принятия
решений или совершения иных действий, порождающих юридические
последствия в отношении субъекта персональных данных или других лиц
либо иным образом затрагивающих права и свободы субъекта персональных
данных или других лиц;
блокирование персональных данных - временное прекращение сбора,
систематизации, накопления, использования, распространения персональных
данных, в том числе их передачи;
уничтожение персональных данных - действия, в результате которых
невозможно восстановить содержание персональных данных в
информационной системе персональных данных или в результате которых
уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых
невозможно определить принадлежность персональных данных конкретному
субъекту персональных данных;
конфиденциальность персональных данных - обязательное для
соблюдения оператором или иным получившим доступ к персональным
4
данным лицом требование не допускать их распространение без согласия
субъекта персональных данных или наличия иного законного основания;
общедоступные персональные данные - персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта
персональных данных или на которые в соответствии с федеральными
законами не распространяется требование соблюдения конфиденциальности.
3. Информация, содержащая персональные данные, находящаяся в
обращении в Учреждении.
- документы в соответствии с Законом РФ от 29.12.2012 г. N 273 - ФЗ "Об
образовании"
- документы в соответствии с Трудовым Кодексом РФ;
- документы в соответствии с Регламентами об оказании муниципальных
услуг
- документы в соответствии с Положениями о наградах муниципального,
регионального, ведомственного и федерального уровней
- сведения, связанные с исполнением полномочий и функций Учреждения в
соответствии с Положением об Учреждении;
- сведения, связанные с исполнением нормативных документов вышестоящих
организаций;
- личные дела работников, обучающихся.
4. Обработка персональных данных.
4.1. Для оператора, получившего доступ к персональным данным
субъекта персональных данных, обязательным является требование не
допускать распространение данной информации без согласия субъекта
персональных данных, а также при наличии иного законного основания.
4.2. В целях обеспечения прав и свобод человека и гражданина оператор
при обработке персональных данных субъекта персональных данных обязан
соблюдать следующие общие требования:
4.2.1. Обработка персональных данных субъекта персональных данных
может осуществляться исключительно в целях обеспечения соблюдения
законов и иных нормативных правовых актов, содействия субъектам
персональных данных в трудоустройстве, обучении и продвижении по службе,
обеспечения личной безопасности, контроля деятельности, количества и
качества выполняемой работы работника и третьих лиц.
4.2.2. Обработка персональных данных может осуществляться для
статистических или иных научных и служебных целей при условии
обязательного обезличивания персональных данных.
4.2.4. Оператор не имеет права получать и обрабатывать персональные
данные субъекта персональных данных, касающиеся расовой, национальной
5
принадлежности политических взглядов, религиозных или философских
убеждений, заболеваниях, и частной жизни. В случаях, непосредственно
связанных с вопросами трудовых отношений, в соответствии со статьей 24
Конституции Российской Федерации Учреждение вправе получать и
обрабатывать данные о частной жизни субъекта персональных данных только
с его письменного согласия.
4.2.5. Оператор не имеет права получать и обрабатывать персональные
данные субъекта персональных данных о его членстве в общественных
объединениях или его профсоюзной деятельности, за исключением случаев,
предусмотренных федеральными законами.
4.2.6. При принятии решений, затрагивающих интересы субъекта
персональных данных, Учреждение не имеет права основываться на
персональных данных субъекта персональных данных, полученных
исключительно в результате их автоматизированной обработки или
электронного получения.
4.3. В целях информационного обеспечения могут создаваться
общедоступные источники персональных данных (в том числе справочники,
электронные базы). В общедоступные источники персональных данных могут
включаться фамилия, имя, отчество, должность, подразделение, служебные
телефоны и адрес электронной почты. Другие персональные данные
(например - дата рождения и т.д.) могут включаться в справочники только с
письменного согласия субъекта персональных данных.
4.4. Получение персональных данных
4.1. Все персональные данные субъекта персональных данных должны
быть получены лично у совершеннолетнего субъекта персональных данных и
с согласия родителей (законных представителей) у несовершеннолетнего
субъекта персональных данных. Если персональные данные субъекта
персональных данных возможно получить только у третьей стороны, то
субъект персональных данных должен быть уведомлен об этом заранее и
от него или его родителя (законного представителя) должно быть получено
письменное согласие. Учреждение должно сообщить субъекту
персональных данных, родителю (законному представителю) о целях,
предполагаемых источниках и способах получения персональных данных,
характере подлежащих получению персональных данных и последствиях
отказа субъекта персональных данных, родителя (законного представителя)
дать письменное согласие на их получение.
4.5. Хранение персональных данных.
4.5.1. Хранение персональных данных субъекта персональных данных
осуществляется заместителями директора Учреждения, канцелярией,
бухгалтерией Учреждения на бумажных и электронных носителях.
Соответствующие структурные подразделения обеспечивает их защиту от
несанкционированного доступа и копирования.
6
4.5.2. В отношении некоторых документов действующим
законодательством Российской Федерации могут быть установлены иные
требования хранения, чем предусмотрено настоящим Положением. В таких
случаях следует руководствоваться правилами, установленными
соответствующим нормативным актом.
4.5.3. Персональные данные субъекта персональных данных,
хранящиеся в электронном виде, подлежат защите программными средствами.
К ним относятся разграничения прав доступа к электронным ресурсам,
парольная идентификация пользователей электронной системы
документооборота и парольная идентификация пользователей при входе в
информационную систему. Под разграничением прав доступа
подразумевается организация доступа операторов только к тому сегменту
информации, который необходим для выполнения своих служебных
обязанностей. Каждый оператор получает при приеме на работу свой
индивидуальный логин для входа в систему и уникальный пароль, известный
только самому пользователю. Операторам запрещается разглашать
уникальные пароли для входа в систему.
4.5.9. Электронные информационные ресурсы и базы данных хранятся
на компьютерах, располагающихся в помещении, доступ в которые имеют
ограниченное число лиц (операторов).
4.6. Уничтожение персональных данных.
4.6.1. Персональные данные субъекта персональных данных хранятся не
дольше, чем этого требуют цели их обработки, они подлежат уничтожению
по достижении целей обработки или в случае утраты необходимости в их
достижении.
4.6.2. Документы, содержащие персональные данные, подлежат
хранению и уничтожению в порядке, предусмотренном архивным
законодательством Российской Федерации.
4.7. Обработка персональных данных субъекта персональных данных
осуществляется без их письменного согласия в следующих случаях:
обработка персональных данных осуществляется на основании
федерального закона, устанавливающего ее цель, условия получения
персональных данных и круг субъектов, персональные данные которых
подлежат обработке, а также определяющего полномочия оператора;
обработка персональных данных осуществляется в целях
исполнения договора, одной из сторон которого является субъект
персональных данных;
обработка персональных данных осуществляется для статистических
или иных научных целей при условии обязательного обезличивания
персональных данных;
обработка персональных данных необходима для защиты жизни,
здоровья или иных жизненно важных интересов субъекта персональных
данных, если получение согласия субъекта персональных данных невозможно;
7
обработка персональных данных необходима для доставки почтовых
отправлений организациями почтовой связи;
осуществляется обработка персональных данных, подлежащих
опубликованию в соответствии с федеральными законами, в том числе
персональных данных лиц, замещающих государственные и муниципальные
должности, должности государственной и муниципальной гражданской
службы, персональных данных кандидатов на выборные государственные и
муниципальные должности.
5. Права и обязанности операторов, имеющих доступ к
персональным данным.
5.1. Оператор вправе:
осуществлять обработку, распространение, блокирование и
использование персональных данных в соответствии со своими
должностными обязанностями;
требовать от Учреждения создания условий, необходимых для
обработки персональных данных в соответствии с действующим
законодательством Российской Федерации;
прекращать обработку персональных данных при возникновении
обстоятельств, которые могут нанести ущерб информационной безопасности;
требовать от субъектов персональных данных выполнения ими своих
обязательств согласно действующему законодательству;
вносить предложения по совершенствованию системы мер защиты
персональных данных.
5.2. Операторы обязаны:
исключать возможность неконтролируемого проникновения или
пребывания в служебных помещениях, в которых ведется работа с
персональными данными, посторонних лиц;
обеспечивать сохранность носителей персональных данных; при
необходимости в нерабочее время хранить такие носители в запираемых
столах, шкафах и т.п.;
не копировать без служебной необходимости персональные данные на
различные носители;
не вносить никаких изменений в носители персональных данных, если
это не входит в непосредственные обязанности оператора; не допускать
искажения таких данных;
исключать утечку персональных данных за счет возможного просмотра
видовой информации через окна помещений с помощью оптических средств;
при обработке указанных сведений закрывать шторы (жалюзи);
при создании документа самостоятельно или совместно с руководителем
определять право доступа к нему других операторов, нести ответственность за
необоснованное расширение круга лиц, допущенных к документу;
при передаче материальных носителей персональных данных в другое
8
подразделение принимать меры, исключающие утрату, разглашение
персональных данных;
при возникновении необходимости уничтожать носители информации,
содержащие персональные данные, способами, исключающими их
дальнейшее прочтение или восстановление (размол на бумагорезательной
машине или сожжение);
неукоснительно выполнять требования настоящего Положения и
пресекать возможные нарушения со стороны субъектов персональных
данных;
в случае выявления фактов утраты (разглашения) персональных данных,
проявления интереса к ним со стороны посторонних лиц своевременно
докладывать об этом своему непосредственному руководителю;
принимать другие исчерпывающие меры, направленные на обеспечение
защиты персональных данных от неправомерного доступа, уничтожения,
модифицирования, копирования, распространения и иных неправомерных
действий в отношении охраняемой информации;
соблюдать требования пожарной безопасности.
5.3. Операторам запрещается:
ознакамливать других работников Учреждения с персональными
данными, если те не имеют к ним непосредственного отношения;
ознакамливать в письменной или устной форме посторонних лиц с
персональными данными, в том числе передавать им такие сведения на любых
видах носителей;
использовать способы неполного уничтожения носителей персональных
данных (выбрасывание в урну, сдача в макулатуру и т.п.);
выносить документы и черновики, содержащие персональные данные,
без служебной необходимости за пределы здания Учреждения;
оставлять носители персональных данных в кабинетах на столах, как в
рабочее, так и не в рабочее время, если они могут стать доступными для
ознакомления посторонними лицами;
разглашать (распространять) персональные данные, правообладателем
которых является другое структурное подразделение Администрации, если
оператор случайно стал обладателем этих сведений.
6. Передача персональных данных работников
6.1. При передаче персональных данных субъектов персональных
данных операторы, имеющие доступ к персональным данным, должны
соблюдать следующие требования:
6.1.1. Не сообщать персональные данные субъекта персональных
данных третьей стороне без письменного согласия субъекта персональных
данных, за исключением случаев, когда это необходимо в целях
предупреждения угрозы жизни и здоровью субъекта персональных данных, а
также в других случаях, предусмотренных Трудовым кодексом Российской
9
Федерации или иными федеральными законами.
Учитывая, что Трудовой кодекс Российской Федерации не определяет
критерии ситуаций, представляющих угрозу жизни или здоровью субъекту
персональных данных, Учреждение в каждом конкретном случае делает
самостоятельную оценку серьезности, неминуемости, степени такой угрозы.
Если же лицо, обратившееся с запросом, не уполномочено федеральным
законом на получение персональных данных субъекта персональных данных,
либо отсутствует письменное согласие субъекта персональных данных на
предоставление его персональных сведений, либо, по мнению Учреждения,
отсутствует угроза жизни или здоровью субъекта персональных данных,
Учреждение обязано отказать в предоставлении персональных данных лицу.
6.1.2. Не сообщать персональные данные субъекта персональных
данных в коммерческих целях без его письменного согласия.
6.1.3. Предупредить лиц, получающих персональные данные субъекта
персональных данных, о том, что эти данные могут быть использованы лишь в
целях, для которых они сообщены.
6.1.4. Осуществлять передачу персональных данных в пределах
Учреждения в соответствии с настоящим Положением.
6.1.5. Не запрашивать информацию о состоянии здоровья субъекта
персональных данных, за исключением тех сведений, которые относятся к
вопросу о возможности выполнения субъектом персональных данных
трудовой функции.
6.1.6. Передавать персональные данные субъекта персональных данных
представителю субъекта персональных данных в порядке, установленном
Трудовым кодексом Российской Федерации и настоящим Положением, и
ограничивать эту информацию только теми персональными данными субъекта
персональных данных, которые необходимы для выполнения указанным
представителем его функций.
6.2. Внутренний доступ к персональным данным субъектов
персональных данных.
Право доступа к персональным данным субъекта персональных данных
имеют:
- директор Учреждения;
- заведующий канцелярией;
- заместители директора Учреждения;
- сотрудники бухгалтерии - к тем данным, которые необходимы для
выполнения конкретных функций;
- сам субъекта персональных данных, носитель данных.
6.3. Внешний доступ.
К числу массовых потребителей персональных данных вне Учреждения
относятся государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
10
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
6.4. Другие организации.
Сведения о субъекте персональных данных могут быть предоставлены
другой организации только с письменного запроса на бланке организации с
приложением копии заявления субъекта персональных данных. Ответы на
письменные запросы других организаций и учреждений в пределах их
компетенции и предоставленных полномочий даются в письменной форме на
бланке Учреждения и в том объеме, который позволяет не разглашать
излишний объем персональных сведений о субъектах персональных данных.
6.5. Родственники и члены семей.
Персональные данные субъекта персональных данных могут быть
предоставлены родственникам или членам его семьи только с письменного
разрешения самого субъекта персональных данных.
6.6. Требования п.6.1. Положения не подлежат изменению, исключению,
так как являются обязательными для сторон трудовых отношений на
основании ст. 88 Трудового кодекса Российской Федерации.
7. Ответственность за нарушение требований настоящего
Положения
7.1. Лица, виновные в нарушении норм, регулирующих получение,
обработку и защиту персональных данных субъекта персональных данных,
привлекаются к дисциплинарной и материальной ответственности в порядке,
установленном Трудовым кодексом Российской Федерации и иными
федеральными законами, а также привлекаются к гражданско-правовой,
административной и уголовной ответственности в порядке, установленном
федеральными законами.
8. Заключительные положения
8.1. Настоящее Положение вступает в силу с момента его утверждения
приказом Учреждения.
8.2. Настоящее Положение доводится до сведения всех сотрудников под
роспись.
